一、身份鑒別
測評項:
a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別資訊具有復雜度要求并定期更換,
測評方法:
- 使用root權限的賬戶登錄作業系統后,使用命令cat 查看/etc/shadow檔案,核查第二列是否為空,為空即存在空口令賬戶,
- 使用命令cat查看/etc/login.defs檔案,查看是否設定密碼長度和定期更換要求,使用命令cat查看/etc/pam.d/system-auth檔案,查看密碼長度和復雜度要求,記錄PASS MAX_DAYS、PASS MIN_DAYS、PASS MIN_LEN、PASS WARN_AGE,
擴展:
1./etc/shadow檔案共包含9個欄位,分別是用戶名、加密后的用戶密碼、自上次修改密碼后過去的天數(自1970年1月1日開始計算)、多少天后可以修改密碼、多少天后必須修改密碼、密碼過期前多少天提醒更改密碼、密碼過期后多少天禁用用戶賬戶、用戶被禁用的日期(自1970年1月1日經過的天數)、預留欄位以備未來使用
2./etc/shadow檔案第二個欄位的值為加密后的用戶密碼,正常情況為一長串字串,例外情形如下:
①為空,前后兩個冒號之間無內容(::),表示該賬戶無密碼;
②為"!",即(:!:),表示該用戶被鎖,被鎖將無法登陸,但是可能其他的登錄方式是不受限制的,如ssh公鑰認證的方式,su的方式;
③為"*",即(:*:),表示無法使用,和"!"效果是一樣的,
④以"!"或"!!"開頭,則也表示該用戶被鎖,
⑤為"!!",即(:!!:),表示該用戶從來沒設定過密碼,
3.密碼長度和復雜度要求建議值:
PASS_MAX_DAYS:90
PASS_MIN_DAYS:1
PASS_MIN_LEN:8
PASS_WARN_AGE:5
4.在/etc/pam.d/system-auth中添加一行:auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=100
參考文章:https://www.icorgi.cn/2020/03/12/172.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/14041.html
標籤:其他